Thứ Năm, 6 tháng 1, 2011

Cách đảm bảo an ninh cho hệ thống Linux của bạn - Phần 2

Tường lửa và mã hóa phần mềm

How your secure your Linux system

Người giám hộ: Linux không làm cho máy tính của bạn tự động không thể thâm nhập được

Tutorial: Linux doesn't make your system impenetrable automatically

By Mayank Sharma

Theo: http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651?artc_pg=2

Bài được đưa lên Internet ngày: 04/01/2011

Lời người dịch: Bài này giúp bạn thiết lập tường lửa và mã hóa dữ liệu khi sử dụng hệ điều hành GNU/Linux trên các máy tính trạm.

Một cài đặt Linux là an ninh hơn nhiều so với các hệ điều hành khác. Điều này đúng, cho tới khi bạn kết nối tới Internet. Một khi trực tuyến, một cài đặt máy để bàn Linux, đánh cược sẽ được sử dụng như nhiều người sử dụng có thể, để lại chỗ đủ để phơi ra cho các cuộc tấn công và những vụ thâm nhập. Cho dù không đổ mồ hôi. Trợ giúp chỉ là một máy đầu cuối.

Tất cả các phát tán Linux đi với Iptables, mà nó là một phần của nhân mà cho phép sysadmins lọc các gói mạng. Việc thiết lập cấu hình cho nó bằng tay là không thể đối với tất cả mà chỉ những người giỏi, nhưng theo đúng tinh thần của nguồn mở thì cộng đồng đưa ra một số giao diện đồ họa mặt tiền mà làm cho một tường lửa trở thành cuộc dạo chơi ở ngoài công viên. Một tường lửa đồ họa như vậy là Firestarter.

Out of the box, a Linux installation is much more secure than other operating systems. That is, until you connect to the internet. Once online, a desktop Linux installation, in its bid to be of use to as many users as possible, leaves enough room to be exposed to attacks and intrusions. Don't sweat though. Help is only a terminal away.

All Linux distros ship with Iptables, which is a part of the kernel that enables sysadmins to filter network packets. Configuring it manually is impossible for all but the elite, but in the true spirit of open source the community offers a number of graphical front-ends that make setting up a firewall a walk in the park. One such graphical firewall is Firestarter.

Firestarter

We didn't start the fire

Chúng ta đã không nhóm lửa

Firestarter đơn giản hóa quá trình thiết lập cấu hình các thiết lập cho một tường lửa. Nó có thể hạn chế sự truy cập vào các cổng mà đang chạy các dịch vụ mà có thể bị hỏng vì các cuộc tấn công từ bên ngoài, và bạn cũng có thể sử dụng nó để nhìn qua giao thông mạng đi qua máy mà bạn đang chạy trên đó.

Hầu hết các phát tán đưa Firestarter vào trong kho của họ, nên việc cài đặt nó không có vấn đề gì. Khi bạn bắt đầu nó lần đầu, tường lửa này đưa ra một thuật sỹ cấu hình đơn giản mà nó nhắc bạn chọn giao diện mạng trong đó nó sẽ là tích cực.

Nếu bạn có nhiều thiết bị với một kết nối tới mạng nội bộ, thì Firestarter có thể hành động như là cổng gateway và chia sẻ kết nối Internet với phần còn lại của mạng. Mặc định, Firestarter chỉ lọc thông qua các kết nối mà trả lời cho các yêu cầu kết nối từ máy chủ host của tường lửa. Ưu điểm của việc làm theo cách này là việc nó khóa sự truy cập tới các dịch vụ như Telnet, mà có thể bị khai thác để giành sự truy cập tới máy tính của bạn mà không cần tri thức của bạn.

Việc chỉnh tường lửa không mất nhiều sức. Nếu bạn có một ứng dụng mà đòi hỏi sự truy cập trên các cổng nhất định, như một máy trạm Torrent, thì bạn cần đục các lỗ hổng trong tường lửa của bạn để cho phép các kết nối tới. Điều đó dễ dàng thực hiện được từ trong tab Policy.

Nháy phải bên trong không gian dưới Allow Service và chọn Add Rule. Từ thực đơn kéo thả, hãy chọn dịch vụ mà bạn muốn cho phép, ví dụ là Samba, hãy chọn nguồn IP (bất kỳ ai mở cổng cho tất cả) và bạn đã làm xong.

Firestarter simplifies the process of configuring the settings for a firewall. It can limit access on ports that are running services that might be prone to outside attacks, and you can also use it to glance at the network traffic passing across the machine you're running it on.

Most distros bundle Firestarter in their repos, so installing it shouldn't be a problem. When you start it for the first time, the firewall launches a simple configuration wizard that prompts you to select the network interface on which it will be active.

If you have multiple devices with one connecting to the internal network, Firestarter can act as gateway and share the internet connection with the rest of the network. By default, Firestarter only filters through connections that are in response to connection requests from the firewall host. The advantage of doing things this way is that it blocks access to services like Telnet, which can be exploited to gain access to your machine without your knowledge.

Tweaking the firewall doesn't take much effort either. If you have an app that requires access on certain ports, such as a Torrent client, you need to punch holes in your firewall to allow incoming connections. That's easily done from under the Policy tab.

Right-click inside the space under Allow Service and select Add Rule. From the pull-down menu, select the service you want to allow, say Samba, select the source IP (anyone opens the port to all) and you're done.

Để hạn chế giao thông ra ngoài, hãy chọn Outbound Traffic Policy từ danh sách kéo thả. Bây giờ bạn có thể chọn hoặc lựa chọn Permissive hoặc Restrictive. Nếu bạn chọn lựa chọn Permissive thì bạn sẽ phải bổ sung các host mà bạn muốn khóa trong một danh sách đen. Restrictive là ngược lại, và chỉ cho phép các kết nối từ các hosts được liệt kê, từ chối những thứ còn lại.

Khi chạy trong chế độ hạn chế (restrictive), Firestarter sẽ ghi nhật ký lại tất cả những từ chối kết nối theo tab sự kiện Events. Khi bạn chọn một kết nối mà bạn muốn cho phép những người sử dụng của bạn, hãy nháy phải vào mục đó và chọn lựa chọn hoặc cho phép kết nối tới tất cả mọi người hoặc chỉ khi nó tạo ra từ một nguồn cụ thể.

Bạn cũng có thể giám sát các kết nối tích cực tới tường lửa từ giao diện chính của Firestarter. Nó chỉ cho bạn tình trạng của dịch vụ, trao cho bạn một tóm tắt các kết nối đến và đi, và số lượng các dữ liệu mà đã đi qua một giao diện. Bổ sung vào việc liệt kê nguồn và đích của giao thông, nó cũng sẽ nói cho bạn cổng các dữ liệu đang đi qua, dịch vụ chạy trên cổng đó và chương trình mà gọi để đánh.

To restrict outgoing traffic, select Outbound Traffic Policy from the drop-down list. Now you can select either the Permissive or the Restrictive option. If you select the Permissive option, you'll have to add the hosts you want to block in a blacklist. Restrictive is the opposite, and only allows connections from the listed hosts, denying the rest.

When running in restrictive mode, Firestarter will log all connection refusals under the Events tab. As you spot a connection you want to allow for your users, right-click on the entry and select the option to either allow the connection for everyone or just when it originates from a particular source.

You can also monitor active connections to the firewall from Firestarter's main interface. It shows you the status of the service, gives you a summary of inbound and outbound connections, and the amount of data that has passed through an interface. In addition to listing the source and destination of the traffic, it'll also tell you the port the data is travelling through, the service running on that port and the program that's calling the shots.

Mã hóa hệ thống tệp của bạn

Nếu bạn thực sự muốn giữ cho những người khác khỏi đọc được các tệp của bạn, thì những mật khẩu của người sử dụng sẽ không cắt nó. Ví dụ, có rất ít người dừng một người sử dụng với các quyền truy cập cao hơn, như người sử dụng root, từ việc trố mắt ra nhìn vào thứ bên trong thư mục gốc của bạn. Những gì bạn cần là mã hóa dữ liệu của bạn sao cho nó là không thể hiểu được đối với mọi người mà không có công cụ để giải mã nó.

Cách thông minh để làm điều này là hãy mã hóa toàn bộ hệ thống tệp, mà có thể tự động mã hóa bất kỳ dữ liệu nào được giữ trong nó. Đây là nơi mà TrueCrypt chói sáng.

Encrypt your filesystem

If you really want to keep others from reading your files, user passwords won't cut it. For instance, there's very little to stop a user with higher access permissions, like the root user, from gawking at stuff under your home directory. What you need is to encrypt your data so that it's unintelligible to people without the means to decrypt it.

The smart way to do this is to encrypt the whole filesystem, which would automatically encrypt any data kept on it. This is where TrueCrypt shines.

TrueCrypt

Nó để cho bạn cắt một vào lát ảo ngoài phân vùng Linux của bạn mà sẽ hành động như một hệ thống tệp được mã hóa đứng một mình. Bạn sau đó sẽ mount nó, sử dụng nó để lưu trữ và đọc các tệp nhu bạn có thể từ một phân vùng bình thường, sau đó unmount nó, và Bob là chú bác của bạn. Khi nó không được mount, thì hệ thống tệp được mã hóa dường như sẽ là một mớ lộn xộn ngẫu nhiên của các bits.

TrueCrypt không sẵn sàng trong kho của mọi phát tán vì các vấn đề cấp phép, nhưng việc cài đặt nó là một công việc bình thường. Hãy chộp nó từ website của nó, trích lưu trữ Tar, và cài đặt nó thông qua thiết lập đồ họa. Hãy chắc chắn phát tán của bạn có thư viện Fuse, và các công cụ mapper thiết bị.

It lets you carve a virtual slice out of your Linux partition that will act as a standalone encrypted filesystem. You then mount it, use it to store and read files as you would from a normal partition, then unmount it, and Bob's your uncle. When it isn't mounted, the encrypted filesystem appears to be a random jumble of bits.

TrueCrypt isn't available in any distribution's repository due to licensing issues, but installing it is a trivial affair. Grab it from its website, extract the Tar archive, and install it via the graphical setup. Just make sure your distro has the Fuse library, and the device mapper tools.

Create an encrypted volume


Tạo một dung lượng được mã hóa

Trước khi bạn có thể sử dụng TrueCrypt thì bạn sẽ phải tạo một dung lượng được mã hóa để lưu trữ các tệp vào, nên hãy tung ra ứng dụng và nháy vào núm Create Volume (tạo dung lượng). Việc này sẽ tung ra thuật sỹ Volume Creation Wizard, mà nó cho phép bạn hoặc tạo một đĩa ảo được mã hóa bên trong một tệp hoặc một dung lượng được mã hóa bên trong toàn bộ một phân vùng, hoặc thậm chí một đĩa như là một đầu USB có thể tháo lắp được.

Nếu bạn chọn lựa chọn đầu để tạo ra một đĩa ảo, thì TrueCrypt sẽ hỏi bạn chỉ nó cho một tệp trong đĩa mà sẽ là dung lượng được mã hóa. Nếu tệp đó tồn tại, thì TrueCrypt sẽ tạo nó, sử dụng một trong 8 thuật toán mã hóa.

Tiếp theo, hãy chỉ định kích cỡ của dung lượng được mã hóa và định dạng nó như một hệ thống tệp FAT, mà làm cho nó truy cập được từ các hệ điều hành khác cũng như Linux. Cuối cùng, hãy chọn một mật khẩu để mount dung lượng được mã hóa.

Để lưu trữ các tệp trong dung lượng mà bạn sẽ phải mount nó. Hãy chọn tệp mà dung lượng được mã hóa của bạn từ giao diện chính TrueCrypt, và nhấn núm Mount. Ứng dụng sẽ nhắc bạn mật khẩu của dung lượng trước khi nó có thể được mount. Bạn cũng có lựa chọn để mount dung lượng như chỉ đọc, nếu tất cả điều bạn phải làm là đọc các tệp từ nó.

Mặc định, TrueCrypt chọn không nhớ tên của tệp mà bạn đã mã hóa dung lượng. Đây là một tính năng an ninh, và bổ sung thêm một khóa khác trên đường đi của một kẻ thâm nhập trái phép. Nếu bạn yêu cầu ứng dụng nhớ tên tệp, thì bất kỳ ai với sự truy cập vật lý tới máy tính cũng có thể chọn tệp đó từ một thực đơn kéo thả và mount dung lượng được mã hóa. Dù họ sẽ vẫn phải vượt qua mật khẩu của bạn.

Một khi dung lượng được mã hóa được mount thì bạn có thể lưu các tệp vào nó chỉ giống như bạn làm với một dung lượng bình thường. TrueCrypt sử dụng phần cứng hiện đại của bạn trong sự sắp đặt của nó để mã hóa và giải mã các tệp trong khi sử dụng; mà để nói nó giảm thiểu sự trễ vì chi phí để chuyển các dòng bit không thể đọc được thành các dữ liệu có nghĩa mà có thể đọc được bằng trình soạn thảo văn bản của bạn hoặc được chơi bằng máy chơi phương tiện của bạn.

Khi bạn vượt qua được rồi, hãy unmount dung lượng với núm Dosmount bên trong chương trình.

Before you can use TrueCrypt you'll have to create an encrypted volume to store files on, so launch the app and click on the Create Volume button. This will launch the Volume Creation Wizard, which lets you either create a virtual encrypted disk within a file or an encrypted volume within an entire partition, or even a disk such as a removable USB drive.

If you select the first option to create a virtual disk, TrueCrypt will ask you to point it to a file on the disk that'll be the encrypted volume. If the file exists, TrueCrypt will recreate it, using one of the eight encryption algorithms.

Next, specify the size of the encrypted volume and format it as an FAT filesystem, which makes it accessible from other operating systems as well as Linux. Finally, choose a password to mount the encrypted volume.

To store files on the volume you'll have to mount it. Select the file that's your encrypted volume from the TrueCrypt main interface, and press the Mount button. The app will prompt for the password of the volume before it can be mounted. You also get the option to mount the volume as read-only, if all you have to do is read files from it.

By default, TrueCrypt chooses not to remember the name of the file that's your encrypted volume. This is a security feature, and adds another roadblock in the path of an intruder. If you ask the app to remember the name of the file, anyone with physical access to the computer can select the file from a pull-down menu and mount the encrypted volume. They'll still have to get past your password though.

Once the encrypted volume is mounted you can save files to it just like you do with a normal volume. TrueCrypt uses your modern hardware at its disposal to encrypt and decrypt files on the fly; which is to say it minimises the lag due to the overhead of converting unreadable bitstream into meaningful data that can be read by your text editor or played by your media player.

When you're through, unmount the volume with the Dismount button within the program.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.